{"id":267144,"date":"2022-06-14T16:55:28","date_gmt":"2022-06-14T14:55:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267144"},"modified":"2022-06-14T23:12:07","modified_gmt":"2022-06-14T21:12:07","slug":"microsoft-defender-neues-feature-hacked-device-isolation-neues-sandboxing-problem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/14\/microsoft-defender-neues-feature-hacked-device-isolation-neues-sandboxing-problem\/","title":{"rendered":"Microsoft Defender: Neues Feature "Hacked Device-Isolation" & neues "Sandboxing"-Problem"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Microsoft Defender ist ja bei vielen Unternehmen im Betrieb. Die Tage ist mir eine Meldung unter die Augen gekommen, dass der Microsoft Defender jetzt verwendet werden kann, um nicht verwaltete Windows-Ger\u00e4te, die gehackt wurden, zu isolieren. Weiterhin liegt mir ein Hinweis eines Nutzers auf die Ursache von Windows-Problemen wie nicht mehr startendes Word in Verbindung mit dem Microsoft Defender vor, \u00fcber welches ich hier im Blog bereits berichtete. Ich fasse die beiden Themen in diesem Sammelbeitrag zusammen.<\/p>\n

<\/p>\n

Microsoft Defender Ger\u00e4te-Isolierung<\/h2>\n

\"\"Ist ein Ger\u00e4t infiziert, kann sich ein Angreifer oder ein Sch\u00e4dling \u00fcber ein Netzwerk auf andere Ger\u00e4te ausbreiten. Microsoft hat seinen Microsoft Defender for Endpoint daher um eine neue Funktion zur Isolierung von Ger\u00e4ten erweitert. Ich bin \u00fcber nachfolgenden Tweet<\/a> und diesen Artikel<\/a> der Kollegen von Bleeping Computer auf das Thema aufmerksam geworden.<\/p>\n

\"Defender<\/a><\/p>\n

Microsoft beschreibt die neue Funktion in diesem Dokument<\/a> im Abschnitt Contain devices from the network <\/em>folgenderma\u00dfen.<\/p>\n

WIrd ein nicht verwaltetes Ger\u00e4t identifiziert, das kompromittiert oder potenziell kompromittiert ist, l\u00e4sst sich dieses Ger\u00e4t aus dem Netzwerk ausschlie\u00dfen. Schr\u00e4nken Sie ein Ger\u00e4t ein, blockiert jedes in Microsoft Defender for Endpoint integrierte Ger\u00e4t die ein- und ausgehende Kommunikation mit diesem Ger\u00e4t. Diese Aktion kann verhindern, dass benachbarte Ger\u00e4te kompromittiert werden, w\u00e4hrend der Security Operations Analyst die Bedrohung auf dem kompromittierten Ger\u00e4t lokalisiert, identifiziert und behebt.<\/p><\/blockquote>\n

Das Blockieren der ein- und ausgehenden Kommunikation mit einem \"eingeschlossenen\" (blockierten) Ger\u00e4t wird vom Microsoft Defender for Endpoint in Windows 10 und Windows Server ab Version 2019 und h\u00f6her unterst\u00fctzt. Die Verwaltung erfolgt im Microsoft 365 Defender-Portal \u00fcber die Seite \"Ger\u00e4teinventar\".<\/p>\n

Defender Sandbox-Mode als Problemb\u00e4r<\/h2>\n

Seit Herbst 2018 unterst\u00fctzt der in Windows 10 enthaltenen Windows Defender ein zus\u00e4tzliches Sicherheitsfeature. Die Virenschutzl\u00f6sung kann ab Windows 10 V1703 in einer gesch\u00fctzten Sandbox-Umgebung ausgef\u00fchrt werden. Ich hatte im Blog-Beitrag Windows Defender in der Sandbox<\/a> seinerzeit \u00fcber die Details berichtet.<\/p>\n

Nun sieht es so aus, als ob dieser Sandbox-Modus durchaus f\u00fcr echte Probleme verantwortlich sein kann und m\u00f6glicherweise nur wenige Leute diesen Modus verwenden. Ich hatte hier im Blog ja k\u00fcrzlich in diversen Blog-Beitr\u00e4gen \u00fcber Probleme bei Windows 10 in Verbindung mit dem Defender for Endpoint berichtet (siehe Artikellinks am Beitragsende). Unter anderem geht es um eine Beobachtung von Blog-Leser Markus K. in Verbindung mit dem Microsoft Defender for Endpoint. Markus ist Administrator f\u00fcr einige Tausend Windows Client in einer Netzwerk-Struktur und l\u00e4uft in Probleme:<\/p>\n